On Thu, Jun 07, 2018 at 02:59:10PM +0300, Janko Mihelić wrote: > Gdpr se možda može zaobići. Jesu li korisnička imena jedino što je > problematično? Što kad bi upisao ID note-a i onda ti on nađe sve noteove > istog korisnika, ali ti ne ispiše tog korisnika? Malo je glupo, ali onda > možeš umjesto korisničkih imena u bazu staviti inkrementalne id-eve.
Nisam bas sklon "zaobilazenju" zakona... a to gore bi moguce radilo i ne bilo podlozno GDPRu, ali bi isto tako bilo prilicno neupotrebljivo za koristenje :( Ne znam je li jos sto problematicno osim usernames (geodata nije u toj bazi, ali tekst notes/komentara je); za to bi trebalo detaljnije prouciti GDPR... Takodjer bi trebalo pronaci i detaljno procitati sto je OSMF/LWG napravio i slozio i napisao, vjerojatno ima nesto sto nam moze pomoci. No ja nemam snage trenutno jos i za to :( > Ili još bolje, umjesto korisničkih imena staviš hasheve tih imena, i onda > samo ako upišeš pravo ime, dobiješ isti hash. Prije toga ni ti ni itko > drugi ne može iz hasha dobiti tko je to. Osim ako brute forsa OSM bazu. Napravio sam na githubu branch 'hash' koji radi po tome. Doduse tada gubimo case insensitivity (u trazilicu se tada mora upisati tocna kombinacija velikih i malih slova u usernameu, sto se do sada nije moralo)... GDPR tu tehniku mislim zove pseudonymze, ali svejedno sumnjam da je to rjesenje za nas, jer nas problem nije da ce netko provaliti na server i ukrasti bazu sa inace tajnim podatcima (i tako su javno objavljeni na planet.osm.org!), nego to sto ne navodimo korisniku otkud nam podaci, sto radimo s njima, kako se moze obrisati od tamo itd. Isto tako, cini mi se da "obrada osobnih podataka" nastane vec u trenu kada scripta napravi "bzcat planet-notes-latest.osn.bz2" i pocne parsirati podatke za bazu, daleko prije bilo kojeg web user interfacea. Ali utukao sam tek desetak sati u citanje raznih sazetaka GDPR-a, pa sam mozda u krivu. hopefully ce hbogner znati bolje pa uspjeti napisati privacy policy... Samo treba vidjeti po kojoj osnovi, jer mislim da na privolu ne mozemo ici (sto je i sreca, jer nikad ne bi skupili privolu od svih contributora), a niti na zakonsku obavezu. Mislim da ima jos 2-3 labava nacina na koje se nekad smiju objavljivati neki privatni podaci sto nas mozda moze uciniti compliant, ali opet moramo sloziti dokumentaciju i napisati u Privacy Policy (uz ostalo) na sto od toga se pozivamo i zasto. -- Opinions above are GNU-copylefted. _______________________________________________ Talk-hr mailing list [email protected] https://lists.openstreetmap.org/listinfo/talk-hr
